Увага: нова шахрайська схема при співбесідах, націлена на користувачів macOS та Windows

Нова шкідлива кампанія націлена на шукачів роботи, експлуатуючи їхнє бажання отримати роботу шляхом вимоги встановлення шкідливого ПЗ, замаскованого під програму для співбесід. Ця схема особливо небезпечна, оскільки вона спеціально націлена на користувачів як macOS, так і Windows, використовуючи методи соціальної інженерії для обходу заходів безпеки.

Як працює шахрайська схема

Шахрайство проходить по ретельно продуманій схемі:

1. Шукачі отримують запрошення на співбесіду від нібито легітимної компанії
2. Прямо перед співбесідою їх інформують, що вона проводитиметься через певний додаток
3. При спробі завантажити додаток їх перенаправляють на процес реєстрації
4. Після реєстрації вони отримують “код синхронізації”
5. Після завантаження та запуску інсталятора користувача просять запустити скрипт через термінал або консоль

Що робить цю схему особливо небезпечною - це психологічна маніпуляція, що створює відчуття терміновості та легітимності навколо можливості працевлаштування, змушуючи жертв ігнорувати звичайні заходи безпеки.

Технічний аналіз шкідливого ПЗ

Давайте розглянемо, як працює це шкідливе ПЗ, використовуючи реальний приклад, який я нещодавно проаналізував (приклад домену: talkon.app/connect - не відвідуйте це посилання, оскільки воно шкідливе).

Шкідливий скрипт використовує кілька обманних технік:

# Приклад структури шкідливого скрипта (НЕ ВИКОНУВАТИ):
encoded_string1="[base64 data]"
encoded_string2="[base64 data]"
encoded_string3="[base64 data]"

combined=$(echo "$encoded_string1$encoded_string2$encoded_string3" | base64 -d)
eval "$combined"

При декодуванні скрипту ми виявляємо кілька тривожних дій:

1. Приховане виконання коду: Використовує base64 кодування для приховування справжнього призначення
2. Приховані операції: Працює з прихованими файлами (з префіксом ‘.’)
3. Зовнішній код: Виконує код із зовнішнього тому з назвою “TalkOn_Setup”
4. Маніпуляції з системою: Копіює файли в системні директорії та змінює дозволи
5. Придушення помилок: Мінімізує повідомлення про помилки для уникнення виявлення

При спробі доступу з пристрою iOS, шкідливе ПЗ покаже, що ОС не підтримується.

На що звертати увагу

При пошуку роботи остерігайтеся наступних ознак:

1. Вимога встановлення ПЗ: Легітимні компанії зазвичай використовують відомі платформи як Zoom, Teams або Google Meet
2. Незвичайний процес завантаження: Багато кроків, підозрілі вимоги реєстрації та коди синхронізації
3. Команди терміналу: Жодне легітимне ПЗ для співбесід не повинно вимагати доступу до терміналу
4. Тактика тиску: Терміновість встановлення перед співбесідою - це маніпулятивна тактика
5. Обмежена доступність платформ: Твердження, що ПЗ працює тільки на певних платформах

Як захистити себе

Дотримуйтесь цих рекомендацій для безпеки:

1. Досліджуйте компанію: Перевіряйте компанію та рекрутера через офіційні канали
2. Використовуйте відомі платформи: Дотримуйтесь широко визнаних інструментів відеоконференцій
3. Ніколи не запускайте скрипти: Легітимне ПЗ не вимагає виконання скриптів у терміналі
4. Довіряйте інтуїції: Якщо щось здається дивним у процесі співбесіди, ймовірно, так воно і є
5. Повідомляйте про інциденти: Повідомляйте про підозрілі вакансії на платформі, де ви їх знайшли

Що робити, якщо ви постраждали

Якщо ви вже взаємодіяли з таким шкідливим ПЗ:

СПАЛИТИ ВСЕ ВОГНЕМ!

1. Негайно відключіться від інтернету
2. Завантажте комп’ютер у безпечному режимі
3. Запустіть повне сканування системи надійним антивірусним ПЗ
4. Слідкуйте за підозрілою активністю у ваших акаунтах
5. Повідомте про інцидент:
   1. У місцевий підрозділ по боротьбі з кіберзлочинністю
   2. На платформу, де ви знайшли вакансію
   3. У реальну компанію, яку імітували (якщо застосовно)

Будьте пильними

Найкращий захист від таких шахрайств - обізнаність та пильність. Пам’ятайте:

• Жодна легітимна компанія не проводить найм через WhatsApp або Telegram
• Легітимні компанії не вимагають спеціального ПЗ для співбесід
• Будьте вкрай обережні з будь-яким ПЗ, що вимагає доступу до терміналу
• У разі сумнівів запитайте телефонний дзвінок або використовуйте популярну платформу
• Підтримуйте операційну систему та ПЗ безпеки в актуальному стані
• Діліться цією інформацією з іншими шукачами роботи, щоб допомогти захистити їх

Контролюйте свою мережеву активність

Для додаткового захисту вашої системи рекомендується використовувати програмне забезпечення брандмауера, яке контролює, які програми можуть підключатися до інтернету. Ось кілька прикладів:

• Для macOS:
  • Безкоштовне: LuLu
  • Платне: Little Snitch
• Для Windows:
  • Безкоштовне: GlassWire
  • Платне: ZoneAlarm

Використання таких інструментів допоможе вам контролювати мережеву активність та захистити вашу систему від несанкціонованих підключень.

Пам’ятайте: Жодна можливість працевлаштування не варта компрометації безпеки вашої системи. Якщо процес співбесіди здається незвично складним або вимагає встановлення підозрілого ПЗ, краще відмовитися, ніж ризикувати цифровою безпекою.